CVSS: 7.3EPSS: 0%CPEs: 1EXPL: 1CVE-2019-7350
https://notcve.org/view.php?id=CVE-2019-7350
Session fixation exists in ZoneMinder through 1.32.3, as an attacker can fixate his own session cookies to the next logged-in user, thereby hijacking the victim's account. This occurs because a set of multiple cookies (between 3 and 5) is being generated when a user successfully logs in, and these sets overlap for successive logins. Existe una fijación de sesiones en ZoneMinder, hasta la versión 1.32.3, ya que un atacante puede fijar sus propias cookies de sesión al siguiente usuario que inicia sesión, secuestrando así la cuenta de la víctima. Esto ocurre debido a que se está generando un conjunto de múltiples cookies (entre tres y cinco) cuando un usuario inicia sesión, y dichos grupos se solapan para sucesivos inicios de sesión. • https://github.com/ZoneMinder/zoneminder/issues/2471 • CWE-384: Session Fixation •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2019-7340
https://notcve.org/view.php?id=CVE-2019-7340
POST - Cross Site Scripting (XSS) exists in ZoneMinder through 1.32.3, allowing an attacker to execute HTML or JavaScript code via a vulnerable 'filter[Query][terms][0][val]' parameter value in the view filter (filter.php) because proper filtration is omitted. Existe POST- Site Scripting (XSS) reflejado en ZoneMinder, hasta la versión 1.32.3, lo que permite que un atacante ejecute código HTML o JavaScript mediante un valor del parámetro "filter[Query][terms][0][val]" vulnerable en la vista de filtros (filter.php) debido a que se omite un filtrado adecuado. • https://github.com/ZoneMinder/zoneminder/issues/2462 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2019-7348
https://notcve.org/view.php?id=CVE-2019-7348
Self - Stored Cross Site Scripting (XSS) exists in ZoneMinder through 1.32.3, allowing an attacker to execute HTML or JavaScript code via a vulnerable 'username' parameter value in the view user (user.php) because proper filtration is omitted. Existe autocross-Site Scripting (XSS) persistente en ZoneMinder, hasta la versión 1.32.3, lo que permite que un atacante ejecute código HTML o JavaScript mediante un valor del parámetro "username" vulnerable en la vista de usuario (user.php) debido a que se omite un filtrado adecuado. • https://github.com/ZoneMinder/zoneminder/issues/2467 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 6.1EPSS: 0%CPEs: 1EXPL: 1CVE-2019-7344
https://notcve.org/view.php?id=CVE-2019-7344
Reflected XSS exists in ZoneMinder through 1.32.3, allowing an attacker to execute HTML or JavaScript code in the view 'filter' as it insecurely prints the 'filter[Name]' (aka Filter name) value on the web page without applying any proper filtration. Existe Cross-Site Scripting (XSS) reflejado en ZoneMinder, hasta la versión 1.32.3, lo que permite que un atacante ejecute código HTML o JavaScript en la vista "filter", ya que imprime el valor de "filter[Name]" (también conocido como Filter name) de forma insegura en la página web sin aplicar ningún filtrado adecuado. • https://github.com/ZoneMinder/zoneminder/issues/2455 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •
CVSS: 4.8EPSS: 0%CPEs: 1EXPL: 1CVE-2019-7337
https://notcve.org/view.php?id=CVE-2019-7337
Reflected Cross Site Scripting (XSS) exists in ZoneMinder through 1.32.3 as the view 'events' (events.php) insecurely displays the limit parameter value, without applying any proper output filtration. This issue exists because of the function sortHeader() in functions.php, which insecurely returns the value of the limit query string parameter without applying any filtration. Existe Cross-Site Scripting (XSS) reflejado en ZoneMinder, hasta la versión 1.32.3, ya que la vista "events" (events.php) muestra de forma insegura el valor del parámetro limit sin aplicar ningún filtrado de salidas adecuado. Este problema existe debido a la función sortHeader() en functions.php, lo que devuelve de forma insegura el valor del parámetro de cadena de consulta "limit" sin aplicar ningún filtro. • https://github.com/ZoneMinder/zoneminder/issues/2456 • CWE-79: Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting') •